Tutoriel : Configurer une stratégie de rétention des données pour une table dans un espace de travail Log Analytics

  • Article

Dans ce tutoriel, vous allez définir une stratégie de rétention pour une table dans votre espace de travail Log Analytics que vous utilisez pour Microsoft Sentinel ou Azure Monitor. Ces étapes vous permettent de conserver à moindre coût des données plus anciennes et moins utilisées dans votre espace de travail.

Les stratégies de conservation dans un espace de travail Log Analytics des données définissent quand supprimer ou archiver des données dans l’espace de travail. Par défaut, toutes les tables dans votre espace de travail héritent du paramètre de rétention interactive de l’espace de travail, et n’ont aucune stratégie d’archivage. Vous pouvez modifier les stratégies de rétention et d’archivage de tables individuelles, sauf pour des espaces de travail au niveau tarifaire d’essai gratuit hérité.

Dans ce tutoriel, vous allez apprendre à :

  • Définir la stratégie de rétention pour une table
  • Passer en revue la stratégie de conservation et d’archivage des données

Prérequis

Pour suivre les étapes décrites dans ce didacticiel, vous devez disposer des ressources et rôles suivants.

  • Compte Azure avec un abonnement actif. Créez un compte gratuitement.

  • Compte Azure avec les rôles suivants :

    Rôle intégré Étendue Motif
    Contributeur Log Analytics - Abonnement et/ou
    - Groupe de ressources et/ou
    - Table    		 Pour définir la stratégie de rétention sur les tables dans Log Analytics

  • Espace de travail Log Analytics.

Définir la stratégie de rétention pour une table

Dans votre espace de travail Log Analytics, effacez le paramètre d’héritage de l’espace de travail afin que la période de rétention interactive soit fixée à 30 jours. Ensuite, modifiez la stratégie de rétention totale d’une table, comme SecurityEvents, pour archiver 30 jours de données.

  1. Connectez-vous au portail Azure.

  2. Dans le portail Azure, recherchez et ouvrez Espaces de travail Log Analytics.

  3. Sélectionnez l’espace de travail approprié.

  4. Sous Paramètres, sélectionnez Tables.

  5. Dans une table, comme SecurityEvent, ouvrez le menu contextuel (...).

  6. Sélectionnez Gérer la table. Capture d’écran de l’option Gérer la table dans le menu contextuel pour une table dans la vue tables.

  7. Sous Conservation des données, entrez les valeurs suivantes.

    Champ Valeur
    Écran de paramètres de l’espace de travail Désactivez la case à cocher
    Conservation interactive 30 jours
    Période de rétention totale 60 jours

    Capture d’écran des paramètres de conservation des données qui montre les modifications apportées aux champs sous la section Conservation des données.

  8. Sélectionnez Enregistrer.

Passer en revue la stratégie de conservation et d’archivage des données

Dans la page Tables de la table que vous avez mise à jour, passez en revue les valeurs des champs pour la Rétention interactive et la Période d’archivage. La période d’archivage est égale à la période de rétention totale en jours moins la rétention interactive en jours. Par exemple, vous définissez les valeurs suivantes :

Champ Valeur
Conservation interactive 30 jours
Période de rétention totale 60 jours

La page Table affiche donc la période d’archivage suivante de 30 jours.

Capture d’écran de la vue de table qui montre les colonnes interactives de conservation et de période d’archivage.

Nettoyer les ressources

Aucune ressource n’a été créée, mais vous pouvez restaurer les paramètres de conservation des données que vous avez modifiés.

Étapes suivantes

Configurer des stratégies d’archivage et de conservation des données dans les journaux Azure Monitor